PHP输入验证安全漏洞预警

Posted 2021-03-31 深信服千里目安全实验室

近日，php官方发布PHP中存在一个重要漏洞：  CVE-2018-10547

 

千里百科

PHP（PHP：Hypertext Preprocessor，PHP：超文本预处理器）是一种通用的开源脚本语言，语法吸收了C语言、Java和Perl的特点。PHP的应用范围相当广泛，尤其是在网页程序的开发上。一般来说PHP大多运行在网页服务器上，通过运行PHP代码来产生用户浏览的网页。PHP可以在多数的服务器和操作系统上运行。

 

漏洞描述

CVE-2018-10547漏洞：由于php对于CVE-2018-5712的修补并不全面，phar_do_404()

下图是补丁对比

 

影响版本

PHP 5.6.36之前的版本，7.0.30之前的7.0.x版本，7.1.17之前的7.1.x版本，7.2.5之前的7.2.x版本。

 

修复建议

建议使用如下措施避免本次漏洞影响：

使用PHP5.6的用户建议更新到5.6.36，

使用PHP7.0的用户建议更新到7.0.30，

使用PHP7.1的用户建议更新到7.1.17，

使用PHP7.2的用户建议更新到7.2.5。

 

参考链接

CVE链接：

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-10547

官方链接：

https://bugs.php.net/bug.php?id=74782

 

深信服解决方案

深信服安全团队第一时间关注此漏洞问题动向：

经过漏洞分析，确定此漏洞为反射型xss跨站脚本攻击漏洞。深信服下一代防火墙可轻松防御此漏洞，建议部署深信服下一代防火墙的用户开启WAF模块，可轻松抵御此高危风险。

 

信服君总结

本次发现的php漏洞，影响范围广泛，由于国内使用php进行web开发的用户较多，所以，很多用户可能会受到该漏洞的影响，建议大家尽快升级到php最新版本，以防止因为此漏洞而造成损失。